EDÖB zur Auslagerung von Personendaten in eine Microsoft 365 Cloud: Zweifel am risikobasierten Ansatz

Allgemeine Einordnung und Hintergründe

Der EDÖB äusserte sich in seiner am 13. Juni 2022 veröffentlichten Stellungnahme zu einer ihm von der Schweizerischen Unfallversicherungsanstalt (Suva) auf freiwilliger Basis zur Beurteilung vorgelegten Risikoanalyse für die Auslagerung von Personendaten in ein von Microsoft, in der Schweiz, betriebenes Rechenzentrum. Von dieser Auslagerung betroffen waren sämtliche Sparten der Suva, d.h. die Unfallversicherung, die Militärversicherung sowie die zwei Rehabilitationskliniken, wobei die «Kernsysteme» und die Klinikinformationssysteme davon ausgenommen wurden. Bei den von der Auslagerung in die Cloud betroffenen Daten handelte es sich einerseits um Inhaltsdaten, sprich diejenigen Daten, welche die Suva in der Cloud-Anwendung speichern und bearbeiten wird, sowie andererseits um Mitarbeiterdaten (z.B. Zugriffsberechtigungen, Zugriffslogs, Supportanfragen). Bis anhin wurden die Daten «on premise», d.h. auf eigener Infrastruktur der Suva bearbeitetet.

Angesichts der weiten Verbreitung der Produkte und Leistungen von Microsoft in der Privatwirtschaft und den öffentlichen Verwaltungen der Schweiz erachtete der EDÖB das ihm zur Kenntnis gebrachte Auslagerungsprojekt der Suva als von Interesse für eine breite Öffentlichkeit, weshalb er seine diesbezügliche Stellungnahme in der Folge veröffentlicht hat. In seiner Stellungnahme begrüsste der EDÖB zwar, dass das Auslagerungsprojekt in Eigenverantwortung einer Datenschutz-Überprüfung unterzogen wurde, riet der Suva aber die Auslagerung neu zu beurteilen. Der EDÖB sah jedoch davon ab, aufsichtsrechtliche Schritte einzuleiten, behielt sich diese allerdings für einen späteren Zeitpunkt vor, je nach Entwicklung der tatsächlichen Situation und der Rechtslage.

Zeitgleich mit seiner Stellungnahme veröffentlichte der EDÖB zudem ein von der Suva nachgelegtes Antwortschreiben vom 9. Juni 2022. Daraus gehen teilweise abweichende rechtliche Auffassungen hervor, weshalb der EDÖB sich – auch unter Hinweis auf die bislang fehlende Rechtsprechung – zur Publikation des Antwortschreibens entschieden hat.

Zum grenzüberschreitenden Datentransfer und dem risikobasierten Ansatz

Das geltende Schweizer Datenschutzgesetz (DSG) bestimmt, dass Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde. Eine solche schwerwiegende Persönlichkeitsgefährdung droht namentlich, wenn im Exportland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Auskunft darüber, ob in einem Land ein angemessener Schutz besteht, gibt die Staatenliste des EDÖB. Im Nachgang zum Schrems-II-Urteil wurde die USA von dieser Liste vollumfänglich entfernt und die Gesetzgebung gilt dort vorbehaltlos als «unangemessen» (vgl. dazu MLL-News vom 5.10.2020).

Falls in einem Land wie den USA keine angemessene Gesetzgebung vorhanden ist, schliesst dies einen Datentransfer noch nicht gänzlich aus. Gemäss Art. 6 Abs. 2 lit. a DSG dürfen Daten in solche Länder übermittelt werden, wenn «hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten». Der EDÖB hat im Juni 2021 eine Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG) veröffentlicht (vgl. dazu MLL-News vom 07.11.2021). In seiner Stellungnahme verweist der EDÖB explizit auf die diesbezügliche Anleitung und legte diese der Stellungnahme bei.

Bei Datentransfers in Länder mit nicht angemessenem Datenschutzniveau sind in jedem Fall zusätzliche Garantien wie z.B. der Abschluss der Standardvertragsklauseln erforderlich. Nach Schrems II müssen die Datenexporteure zudem prüfen, ob nebst diesen Garantien noch weitere vertragliche, organisatorische oder technische Massnahmen zu implementieren sind, um einen ausreichenden Schutz der transferierten Personendaten zu gewährleisten. Bei dieser Prüfung käme der umstrittene risikobasierte Ansatz zum Einsatz. Bei einer Einstufung eines Datentransfers als risikoarm soll die Vereinbarung von Standardvertragsklauseln ausreichen, wohingegen zusätzliche Vorkehrungen, wie z.B. eine Verschlüsselung der Daten, erst bei Datentransfers mit einem erheblichen Risiko für die Rechte der betroffenen Person notwendig würden. Bei Datentransfers in die USA wäre beim risikobasierten Ansatz insbesondere die Wahrscheinlichkeit eines behördlichen Zugriffs zu prüfen.

Cloud-Auslagerung als grenzüberschreitende Datenbekanntgabe in die USA

Der EDÖB sah es in seiner Stellungnahme aufgrund der von der Suva eingereichten Risikobeurteilung als unbestritten an, dass mit der vorgesehenen Auslagerung von Personendaten in die Cloud eine Zugriffsmöglichkeit durch US-Behörden einhergeht. Die Suva hatte ihre Vertragspartei (hier: Microsoft Ireland Operation Ltd.) zwar verpflichtet, die ausgelagerten Daten in der Schweiz zu bearbeiten. Deshalb geht es nach Ansicht des EDÖB nicht um die Frage eines möglichen Zugriffs von US-Behörden auf Personendaten, die unter Zustimmung der für die Bearbeitung Verantwortlichen von der Schweiz ins Ausland, sprich in die USA, exportiert werden. Gemäss EDÖB handelt es sich jedoch um einen vom Verantwortlichen missbilligten Datentransfer ins Ausland, weil ausländische Behörden auf die Vertragspartei der Suva Einfluss nehmen könnten. Nach Auffassung des EDÖB stellen sowohl der vom Verantwortlichen gewollte als auch der von ihm missbilligte Export von Personendaten eine «grenzüberschreitende Bekanntgabe» i.S.v. Art. 6 DSG (Art. 16 revDSG) dar. Deshalb gelte auch für die von der Suva beschlossene Auslagerung von Personendaten in eine vom US-Konzern Microsoft in der Schweiz betriebene Cloud Anwendung die Regelung für Datentransfers ins Ausland.

Die Suva bringt in ihrem Antwortschreiben demgegenüber vor, dass vorliegend ein Vertrag mit Microsoft Ireland Operation Ltd., und damit mit einem Unternehmen mit Sitz in der EU, abgeschlossen worden sei und deshalb eine Auslagerung von Personendaten rein deshalb nach Art. 6 DSG ohne Einschränkung zulässig sein müsse. Der EDÖB hatte sich in seiner Stellungnahme mit diesem Punkt nicht auseinandergesetzt, sondern sprach generell vom «US-amerikanischen Konzern Microsoft». Vom EDÖB nicht thematisiert und beurteilt wird auch der (verbreitete) Umstand, dass die Vertragspartnerin der SUVA ihrerseits für die Bereitstellung der Dienste einen Zugriff auf die Daten durch Mutter- oder Schwestergesellschaften in den USA erlaubt (z.B. im Supportfall), eine solche Bekanntgabe in die USA also dem Cloud-Dienst inhärent ist. Diese Bekanntgabe müsste die Voraussetzungen von Art. 6 DSG einhalten.

Angemessenheit des Datenschutzes und Zugriffsmöglichkeit durch US-Behörden

Ausgehend davon stellt sich die Frage, inwieweit trotz Bekanntgabe in die USA und damit in ein Land ohne angemessenes Datenschutzniveau, ein hinreichender Schutz der Daten gewährleistet werden kann. Wie erwähnt, soll beim risikobasierten Ansatzes bei dieser Beurteilung darauf abgestellt werden, wie hoch die Wahrscheinlichkeit eines behördlichen Zugriffs ist. Diese Wahrscheinlichkeit soll mit Wahrscheinlichkeitswerten beziffert werden. Zentral sind dabei die unter US-Recht bestehenden Zugriffsmöglichkeiten durch die dortigen Behörden, insbesondere der Nachrichtendienste. So geben der US Cloud Act und dessen extraterritoriale Anwendbarkeit immer wieder Anlass zu kontroversen Diskussionen. Das schweizerische Bundesamt für Justiz (BJ) hat dazu unlängst einen Bericht veröffentlicht (vgl. dazu MLL-News vom 14.02.2022). Beim risikobasierten Ansatz geht es allerdings nicht nur um die Gesetzeslage. Entscheidend wäre beim risikobasierten Ansatz, ob bzw. mit welcher Wahrscheinlichkeit die ausländischen Behörden die gesetzlichen Zugriffsmöglichkeiten im konkreten Fall anwenden.

Der EDÖB hielt diesbezüglich fest, dass der US-Konzern Microsoft und die dazugehörenden Unternehmenseinheiten weltweit und somit auch in der Schweiz dem US Cloud Act unterstellt seien. Diese Bestimmungen würden bei allen Unternehmenseinheiten, Zugriffe auf Personendaten durch US-Behörden selbst dann ermöglichen, wenn die Datenspeicherung nicht in den USA erfolgt. Beim Vorgehen gemäss US Cloud Act werde den von der schweizerischen Rechtsordnung verlangten Verfahren und Garantien keinerlei Beachtung geschenkt. Zudem werde es den US-Sicherheitsbehörden und US-Nachrichtendiensten auch unabhängig vom Cloud Act rechtlich und faktisch ermöglicht, die in den USA ansässigen Muttergesellschaften dazu anzuhalten, ihren Geschäftsstellen im Ausland Aufträge zur Beschaffung von Personendaten ausländischer Staatsbürger zu erteilen. Weiter gab der EDÖB zu bedenken, dass ein behördlicher Zugriff nicht nur durch Ausübung von Druck auf den US-amerikanischen Mutterkonzern, sondern allenfalls auch unter Anwendung technischer Massnahmen möglich ist. Entsprechende Massnahmen können sodann dem z.B. im schweizerischen Rechnungszentrum beschäftigten Personal durchaus verborgen blieben.

Die Suva führte zu den vom EDÖB vorgebrachten Argumenten in ihrem Antwortschreiben an, dass der Anwendungsbereich des US Cloud Acts weniger weit sei als gemeinhin angenommen. Auch die Zugriffsmöglichkeit unter anderen Rechtsakten (insb. FISA) werde falsch eingeschätzt, beziehe sich diese doch nicht auf die EU-Tochter von Microsoft und erfasse auch nicht den Datenverkehr zwischen dieser und der Microsoft Corp. als «US-Person». Zudem verwies die Suva darauf, dass sich das für Microsoft tätige Personal in Europa strafbar machen würde, sollte es Informationen herausgeben. Begründet wird dies mit dem strafrechtlichen Verbot, hoheitliche Handlungen fremder Staaten zu unterstützen (Art. 271 StGB). Deshalb bestünden in der Schweiz für US-Behörden relevante Hindernisse für entsprechende Zugriffe. Insbesondere weil Art. 271 StGB auch extraterritoriale Wirkung habe und demnach selbst gegenüber Mitarbeitern von Microsoft in den USA Geltung entfalten würde. Es ist der Suva hier zuzustimmen, dass die Analyse der Gesetzeslage in den USA durch den EDÖB eher rudimentär ausgefallen ist. Hier wäre eine vertieftere Analyse durchaus angebracht. Gewisse Ausführungen der Suva sind allerdings auch nur theoretischer Natur. Es ist leider hinreichend bekannt, dass sich die US-Behörden und auch die US-Gerichte nicht wirklich um Art. 271 StGB kümmern und seine extraterritoriale Wirkung, zumindest was die USA betrifft, sehr stark eingeschränkt ist.

Zentral ist und bleibt zudem der Umstand, den die SUVA selbst einräumt: Die US-Behörden haben zumindest in Bezug auf die Microsoft Corp. eine rechtliche Zugriffsmöglichkeit auf Daten, auf welche diese US-Gesellschaft ihrerseits zugreifen kann. Wie erwähnt, hat diese im Supportfall regelmässig eine Zugriffsmöglichkeit auf Daten, die bei den europäischen Konzerngesellschaften gelagert sind, sodass die Zugriffsmöglichkeit der Behörden gegeben ist.

Vorbehalte des EDÖB gegenüber dem risikobasierten Ansatz

Der EDÖB hält in seiner Stellungnahme fest, dass die Suva in der von ihr eingereichten Risikobeurteilung sinngemäss zum Ausdruck bringe, die vorgesehene Möglichkeit eines Zugriffs durch US Behörden auf ausgelagerte Personendaten stehe der rechtlichen Zulässigkeit einer solchen Auslagerung nicht grundsätzlich entgegen. Eine solche Auslagerung sei vielmehr rechtlich zulässig, solange die geschätzte oder berechnete Wahrscheinlichkeit eines Datenzugriffs durch US-Behörden einen als vertretbar erachteten Wert nicht überschreitet. Hinsichtlich des risikobasierten Ansatzes hielt die Suva fest, dass die mit der Datenauslagerung einhergehende Möglichkeit eines, auf ein Rechtshilfeersuchen oder den US Cloud Act gestützten, behördlichen Zugriffs auf die ausgelagerten Personendaten als höchst unwahrscheinlich zu betrachten sei. Auch für mögliche Zugriffe durch US-Nachrichtendienste schätzte die Suva die Wahrscheinlichkeit insgesamt als «höchst unwahrscheinlich» ein.

Der EDÖB meldete in seiner Stellungnahme bezüglich der Anwendung des risikobasierten Ansatzes jedoch Zweifel an und hielt summarisch fest, dass bereits der Gesetzeswortlaut keine Hinweise auf einen risikobasierten Ansatz zur Gewährleistung eines angemessenen Schutzes beinhaltet. Dies fällt umso mehr ins Gewicht als gemäss EDÖB in anderen Bestimmungen z.B. Art. 7 und 8 nDSG ein solcher Ansatz ausdrücklich verankert sei. Daraus lässt sich nach Auffassung des EDÖB zwar nicht ableiten, dass risikobasierte Argumente im Sinne einer Ergänzung des von ihm empfohlenen Prüfverfahrens von Gesetzes wegen zwingend ausgeschlossen wären. Ergänzende Argumente dürften jedoch nicht dazu führen, dass die im behördlichen Kontext grundrechtlich verbürgten Garantien aufgeweicht werden. Im Wesentlichen teilt der EDÖB damit die von den europäischen Datenschutzbehörden – in den jüngsten Entscheiden zur Verwendung von Google Analytics – vertretene Auffassung bezüglich des risikobasierten Ansatzes (vgl. dazu MLL-News vom 08.06.2022). Im Ergebnis tut er dies jedoch nicht mit derselben Absolutheit. So liess der EDÖB die Frage der rechtlichen Zulässigkeit des risikobasierten Ansatzes – unter dem Hinweis auf die fehlende schweizerische Rechtsprechung sowie auf die Möglichkeit einer Nachfolgereglung zum aufgekündigten Swiss-US Privacy Shield – offen. Er bezeichnet es allerdings zumindest als fraglich, ob der risikobasierte Ansatz rechtlich zulässig ist und angerufen werden darf, um die hier zur Diskussion stehende Datenauslagerung zu rechtfertigen.

Vorgesehene Auslagerung auch unter anderen Gesichtspunkten problematisch

Unabhängig von seinen Vorbehalten hinsichtlich der rechtlichen Zulässigkeit des risikobasierten Ansatzes bezeichnet der EDÖB die Auslagerung auch in weiteren Punkten als problematisch. Zum einen habe die Suva die Bewertung unter Anwendung von «organspezifischen» Kriterien vorgenommen, deren Eignung dem EDÖB zweifelhaft erscheint. Die Suva führte in ihrer Risikobeurteilung an, dass die in die Cloud ausgelagerten Daten kaum Inhalte umfassten, die typischerweise Gegenstand von nachrichtendienstlichen Suchaufträgen aus den USA seien. Aufgrund dieser Einschätzung wies die Risikobeurteilung der Suva auch die Gefahr eines auf nachrichtendienstliche Anordnung hin verdeckt erfolgenden Datenabflusses durch den US-Mutterkonzern bzw. die unter dessen Einfluss stehenden Unternehmenseinheiten in Europa und der Schweiz als äusserst gering aus. In der Risikobeurteilung ging die Suva davon aus, dass höchstens die Personendaten zur Militärversicherung von Interesse sein könnten.

Der EDÖB hielt dazu fest, dass weiter damit gerechnet werden müsse, dass die US-Nachrichtendienste insbesondere den Grundsätzen der Zweckbindung und Verhältnismässigkeit geringe Bedeutung einräumen. Es sei bekannt, dass die Sicherheitsbehörden und Nachrichtendienste flächendeckende Recherchen über ihre Zielpersonen anzustellen pflegen. Deshalb sei davon auszugehen, dass regelmässig auch private und intime Informationen wie Gesundheitsdaten über Zielpersonen beschafft werden. Vor diesem Hintergrund stiess die Annahme der Suva, wonach die ausgelagerten Daten kaum Inhalte umfassen, die typischerweise Gegenstand von nachrichtendienstlichen Suchanfragen sein könnten, beim EDÖB, selbst bei einer Bejahung der Zulässigkeit des risikobasierten Ansatzes, auf Bedenken.

Der EDÖB hielt zudem die von der Suva vorgenommene Einstufung der Wahrscheinlichkeiten eines Zugriffs durch US-Behörden auf vernachlässigbar tiefe Werte und deren Herleitung für in tatsächlicher Hinsicht unzureichend begründet.

Fazit und Ausblick auf die Folgen für die Nutzung von Microsoft Diensten

Trotz all dieser Bedenken verzichtete der EDÖB auf die Eröffnung einer formellen Untersuchung gegen die Suva. Er rät ihr aber zur zeitnahen Vornahme einer Neubeurteilung. Für die Suva hat die Stellungnahme deshalb direkt keine unmittelbaren Konsequenzen. Für die Praxis ist die Stellungnahme aber insoweit von grosser Bedeutung als nun auch der EDÖB öffentlich Zweifel am risikobasierten Ansatz bekundet. Auch wenn der EDÖB schlussendlich die Anwendung des risikobasierten Ansatzes «formal» offenlässt, bleibt die Tendenz seiner rechtlichen Auffassung klar. Dass der EDÖB diese Ansicht vertreten dürfte, kommt aufgrund der von verschiedenen europäischen Datenschutzbehörden gefällten Entscheidungen und früheren Äusserungen des EDÖB nicht überraschend (so bereits geäussert in MLL-News vom 20.06.2021 und im Webinar vom 31. Mai 2022).

Die Stellungnahme bekräftigt insofern die (unbefriedigende) Rechtslage. Auch wenn die Begründung des EDÖB an verschiedenen Stellen nicht überzeugt, ist die Stossrichtung der Stellungahme mit Blick auf Schrems II nachvollziehbar. Sie deckt sich mit denjenigen der Behörden in der EU und bildet, wenn auch leider nicht mit hinreichender Deutlichkeit, die Rechtslage ab, die spätestens seit dem Schrems-II-Urteil bekannt ist. Mangels politischer Lösung muss diese bis auf Weiteres hingenommen werden. Daran vermag auch der verbreitete Einsatz von Tabellen zur Berechnung von Risiken und Wahrscheinlichkeiten nichts zu ändern.

Schweizer Unternehmen müssen bei der Auslagerung von Personendaten an Dienstleister mit Bezug zu den USA somit bis auf Weiteres von einer Verletzung der Bestimmungen zum grenzüberschreitenden Datentransfer ausgehen – sofern keine ausreichenden zusätzlichen Schutzmassnahmen implementiert werden können – und dies bei der Entscheidfindung im Sinne einer Risikoabwägung berücksichtigen. Die Inkaufnahme einer solchen Verletzung und der damit verbundenen Risiken ist schlussendlich eine unternehmerische Entscheidung. Es gilt abzuwägen, ob das Risiko einer Verletzung (verbunden mit dem entsprechenden Bussenrisiko) in Kauf genommen werden soll. Bei der entsprechenden Beurteilung gilt es für die verantwortlichen Individuen innerhalb eines Unternehmens künftig zu berücksichtigen, dass mit der Revision des DSG, ab dem 1. September 2023, für jegliche vorsätzlichen Verstösse gegen die Bestimmungen zur Datenbekanntgabe ins Ausland auch im Schweizer Recht persönliche Bussen von bis zu CHF 250’000 drohen (vgl. dazu MLL-News vom 10.03.2022 und MLL-News vom 19.10.2020).

Weitere Informationen:

• MLL-News vom 08.06.2022: Webinar Rückblick: Darf ich Google Analytics noch verwenden?
• MLL-News vom 08.06.2022: EU-Datenschutzbehörden: Implementierung von Google Analytics verstösst gegen DSGVO
• MLL-News vom 14.02.2022: Gutachten des Bundesamts für Justiz zum US CLOUD Act
• MLL-News vom 20.06.2021: Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln
• MLL-News vom 10.03.2022: DSG Revision: Bundesamt für Justiz veröffentlicht Datum des Inkrafttretens
• MLL-News vom 19.10.2020: Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick
• MLL-News vom 05.10.2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
• MLL-News vom 07.11.2021: EDÖB: aktualisierter Leitfaden für die Datenübermittlung ins Ausland und Anerkennung revidierter Standardvertragsklauseln
• EBÖB: Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG)